クラウド環境と連携するワンクリックSSLとは~SSLの自動インストール、自動更新、月額課金を実現~

  • 730 views
Uploaded on

第2回クラウドコンピューティングEXPO 春のcloudpackブースにてセミナーを行った、GMOグローバルサイン株式会社 浅野様のドキュメントを提供いただき、UPLOADしています。

第2回クラウドコンピューティングEXPO 春のcloudpackブースにてセミナーを行った、GMOグローバルサイン株式会社 浅野様のドキュメントを提供いただき、UPLOADしています。

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
730
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
2
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • SSLの話をする前に、この15年間でWEB技術がどう進化してきたか
  • 一方でSSLを取り巻く状況というのは複雑になってきていて、弱い鍵を排除するためのスタンダードに準拠するとか、審査方法が多様化したりとか、ブラウザの証明書ハンドリングはもっと厳しくなってきていて、正しい証明書だと判断できなかった場合はサイトの表示をしないようになってきています
  • 正しい証明書 正しくない証明書 正しくない証明書が発行されるリスクというのが、かなり高い
  • これによって、CSRの生成などの技術的な要件なしに注文できる 技術部門以外でも注文できるあるいは証明書を使うサイトがわかっていれば、まだその準備が整っていなくてもたとえばホスティング会社が注文を行うことができる

Transcript

  • 1. クラウド環境と連携するワンクリックSSLとは
    ~SSLの自動インストール、自動更新、月額課金を実現~
    浅野 昌和
    GMOグローバルサイン株式会社
    グループ技術開発部 部長
  • 2. ワンクリックSSL – 開発の背景
  • 3. 1996年から2011年までのWeb技術の変遷
    使いにくい
    動きのないHTML
    インタラクティブでない
    カスタマイズできない
    • 用途に合った表現方法、インタラクティブ、アプリケーションの統合
    • 4. HTML, CSS, Flash, Silverlight, XML, JavaScript, Ajax… HTML5
    • 5. PC, phone, tablet, TV 等、様々なデバイスからアクセス可能
  • 1996年から2011年までのSSLの変遷
    1996年当時のSSL のライフサイクル
  • 6. 1996年から2011年までのSSLの変遷
    2011年のSSL のライフサイクル
    90年代と変わっていない!!
  • 7. SSLのライフサイクル管理は何も変わっていない
    • 状況はさらに複雑になっている
    • 8. 暗号鍵の鍵長についての制約
    • 9. 様々な審査方法
    • 10. 認証局の階層が複雑に
    • 11. 証明書を注文する部門とインストールする部門が異なっている
    • 12. ブラウザは、「正しくない」証明書が使用されているサイトへのアクセスをブロックするようになった
  • SSL証明書が「正しくない」状態になる要因
    RSA鍵が脆弱
    正しくないドメイン名で申請
    CSRエラー
    承認メールが迷惑メール扱いされる
    秘密鍵が削除されている
    更新忘れ
  • 13. SSLパラダイムの変化
    • クラウドホスティングのマーケットは、繊細なエコシステム
    • 14. サポートコストがマージンを食いつぶしてしまう
    • 15. 自動化の必要性
    • 16. x.509証明書の申請・設定という概念から、セキュアWebサイトの申請・設定という概念への移行
    • 17. 顧客がほしいのは証明書ではなくセキュアなWEBサイトである
     新しいパラダイムに対応したSSLライフサイクル管理の方法の必要性
    OneClickSSLの登場
  • 18. OneClickSSLとは
  • 19. OneClickSSLとは
    • 考え方
    • 20. パート1: バウチャーの申請(証明書ではなく、バウチャーを配布)
    • 21. パート2 : SSLの有効化(バウチャーを使用した自動証明書インストール)
    「購入」フェイズと「設定」フェイズの分離
  • 22. OneClickの2つのフェイズ
    GlobalSign
    Phase1
    商材選択・Voucher購入(購入画面・API)都度購入/まとめ買いが可能
    パートナー様
    Voucher引き渡し
    Phase2
    コントロールパネル
    Voucher入力
    証明書発行(API)
    エンドユーザ様
    証明書発行要求
    証明書設定
    11
  • 23. OneClickの2つのフェイズ
    GlobalSign
    コントロールパネル
    Phase1
    Voucher購入(API)
    Communicate via API
    注文情報入力
    エンドユーザ様
    Phase2
    証明書発行(API)
    証明書発行要求
    証明書設定
    12
  • 24. Phase2 証明書発行フェイズ
    GS側
    発行申請システム
    (GAS)
    コントロールパネル
    ①CSR生成
    ②テスト証明書の要求
    ④テスト証明書のインストール
    ⑤本番用証明書の要求
    ⑧本番証明書のインストール
    Voucher入力
    ③テスト用証明書発行
    ⑥テスト証明書の検証(ドメインの所有確認)
    ⑦本番証明書発行
    エンドユーザ様
    Voucher・CSR
    ID・テスト証明書
    ID・CSR
    ID・テスト証明書
    「設定」フェイズはワンクリックで!
    13
  • 25. OneClickによる月次発行・月次課金
    GlobalSign
    Phase1
    商材選択・Voucher購入(購入画面/API)
    パートナー様
    Communicate via API
    Voucher引き渡し
    Phase2
    コントロールパネル
    Voucher入力
    エンドユーザ様
    証明書発行要求
    証明書設定
    この処理を毎月繰り返すことで、ユーザのアクションなく毎月証明書が自動更新される
    14
  • 26. Plug-ins
  • 27. EC2とワンクリックSSLの連携
  • 28. EC2連携 – 中継サーバ開発
    SSL要求
    Voucher注文
    証明書・鍵設定
    証明書要求・発行
    中継システム
    バリデーション
    GlobalSignオーダーシステム
    EC2
    17
  • 29. 中継サーバの機能
    オペレータ
    中継システム
    EC2
    GlobalSign
    投入
    認証用鍵・CSR生成
    Voucher,ID,FQDN
    認証用証明書要求
    認証用証明書発行
    Voucher
    FQDN
    認証用証明書取得
    Certificate
    認証用証明書設定
    Private key, Certificate, CA certificate
    認証用証明書設定
    本番用鍵・CSR生成
    認証用証明書検証
    本番用証明書要求
    FQDN
    Certificate
    本番用証明書発行
    本番用証明書取得
    本番用証明書設定
    本番用証明書設定
    Private key, Certificate, CA certificate
  • 30. ライセンスフリー
    1ライセンス分の料金で、複数台のサーバで利用可能
    クラウドコンピューティングに最適なライセンスモデル
  • 31. GMOグローバルサインのご紹介
  • 32. 21
    認証局 GMOグローバルサインとは
    ■グローバルサインのプロファイル
    • 1996年にベルギー政府主導で設立された老舗の認証局(トップルート)
    • 33. 認証局として、日本国内に本社機能を有し、日本発信でグローバル展開をする企業集団
     【拠点】日本、ベルギー、ロンドン、ボストン、上海、シンガポール
    • SSLサーバ証明書の日本国内シェア2位
    • 34. 経産省が推進する「流通システム標準化事業(流通BMS)」に、証明書を発行する認証 局として参入(2008年8月より流通BMS対応証明書を提供)
    • 35. 世界で初めてSHA-2テスト証明書プログラムを提供(2008年6月より)
    • 36. セイコープレシジョン様と電子署名・タイムスタンプビジネスで協業。
    「SEIKO Cyber Time時刻認証局」をグローバルサインが認証することで、「SEIKO Cyber Time時刻認証局」のタイムスタンプが国内だけでなくワールドワイドで利用でき、各国で電子文書の原本性保証を行うことが可能となる。
    ■会社概要
    ・GMOグローバルサイン株式会社
    ・設立:2003年4月
    ・資本金:356,640,000円
    ・代表取締役社長 中條 一郎
    ・所在地:〒150-0031 東京都渋谷区桜丘町20-1 渋谷インフォスタワー10階
  • 37. SSLの市場規模
    SSL市場規模の推移
    【2008年度 190億】->【2009年度 250億】 ->【2010年度 320億】
    <参考> 富士キメラ総研
    (b) 2007年6月の各社占有率
    (a) 2003年4月の各社占有率
    ■国内サーバー証明書
    有効発行数:48,070枚
    ■国内サーバー証明書
    有効発行数:9,863枚
    28.6%
    82.3%
    47.5%
    <参考> Netcraft
    グローバルサインは、
    ・国内市場の成長
    ・ユーザー様のニーズに合わせた価格設定
    ・独自サービス開発、投入により、国内30%近いシェアを獲得
    ■GMOグローバルサイン
     (旧社名:日本ジオトラスト)
    ・設立:2003年4月
    ・証明書定価:59,800円
    ■米ベリサイン社
    ・日本法人設立:1996年
    ・当時の証明書定価:81,000円
    (現在も価格は変わらず)
  • 38. 23
    グローバルサインの提供する証明書
    SSLサーバ証明書
    PDF文書署名用証明書
    ■ロケーション
      ・IR文書、財務報告書の公開、電子契約書への署名
      ・大学論文のWeb公開、CAD図面の署名
    ■目的
      ・PDF文書の作成者、作成日時の証明
    ■達成できること
      ・文書閲覧者に対し、証明書とタイムスタンプ(世界標準)
       を付加することで、「いつ」「誰が」作成したかの証明
      
    ■ロケーション
      ・Webサイトの問い合わせ窓口
      ・銀行、証券、保険、ECショップ等の会員サービス他
    ■目的
      ・個人情報、機密情報の秘匿化(通信区間の暗号化)
      ・企業の実在性、ドメインの実在性の証明
    ■達成できること
      ・サイト閲覧者=エンドユーザの信頼を獲得
                ⇒ビジネスチャンスの拡大
    コードサイニング証明書
    クライアント証明書
    ■ロケーション
      ・CD-ROM・オンラインにおけるプログラム配布時
    ■目的
      ・プログラム配布元の証明
      ・プログラム実行時の「警告」をなくす
    ■達成できること
      ・プログラム開発元の「なりすまし」、プログラムの   「改ざん」悪意のあるプログラムを埋め込まれること   を防止できる
      
    ■ロケーション
      ・メールの送受信
      ・アプリケーションの認証
    ■目的
      ・メール本文、添付ファイルに含まれる機密情報
       の秘匿化(暗号化)
      ・パスワードのみの認証よりも認証を強化
    ■達成できること
      ・メール、メールサーバがハッキング対策
      ・アプリ利用時の本人認証による利用者管理           
  • 39. ご静聴ありがとうございました
    浅野 昌和
    masakazu.asano@globalsign.co.jp